Πριν τον 18o αιώνα, οπότε και έγιναν οι πρώτες συμφωνίες μεταξύ κρατών να μην βάλλονται εμπορικά πλοία, οι κίνδυνοι της θάλασσας ήταν η φύση, οι πειρατές και οι ανταγωνιστές.

Σήμερα, η φύση παραμένει ένας σημαντικός κίνδυνος, οι πειρατές κάνουν κάποια ζημιά, αλλά με ελάχιστες απώλειες, δεδομένου ότι τα μέσα που διαθέτουν είναι πολύ λιγότερο αξιόμαχα σε σχέση με το παρελθόν και οι ανταγωνιστές θεωρητικά σέβονται τους κανόνες ναυσιπλοΐας προς αποφυγή δυστυχημάτων. Πρακτικά δηλαδή και οι τρεις κίνδυνοι του παρελθόντος παραμένουν ενεργοί με μικρότερες ωστόσο επιπτώσεις και πλέον σε αυτούς προστίθεται και ένας τέταρτος που έχει να κάνει με την ασφάλεια των ψηφιακών συστημάτων του πλοίου. Η πολυπλοκότητα του cybersecurity στον τομέα της ναυτιλίας ορίζεται, σύμφωνα με τον Λάμπρο Παπαναστασίου, Head of Marine Department της IQ Solutions από πέντε βασικούς άξονες. Βασικό στοιχείο αποτελεί το εύρος κατηγοριών πλοίων που υπάρχουν σήμερα, με αντίστοιχες απαιτήσεις σε ποικιλία εφαρμογών λογισμικού. Ακόμη ο μεγάλος κύκλος ζωής των συστημάτων στα πλοία, που συχνά ξεπερνά τη δεκαετία, έχει ως αποτέλεσμα τη χρήση μη υποστηριζόμενων λειτουργικών συστημάτων. Επίσης οι συνεχείς εναλλαγές πληρωμάτων αυξάνουν τις πιθανότητες κυβερνοεπίθεσης από ανθρώπινο λάθος, λόγω έλλειψης εξοικείωσης. Επιπλέον, το πλήθος συστημάτων τρίτων, δημιουργεί μη επαρκή κατανόηση της αλληλεπίδρασής τους τόσο μεταξύ των onboard όσο και των επίγειων εφαρμογών. Τέλος τα δίκτυα επικοινωνιών αποτελούν μια νέα πύλη εισόδου για κακόβουλες ενέργειες.

Όχι δίχτυα, δίκτυα
Τα δίκτυα μεταφοράς δεδομένων αποτελούν βασικό στοιχείο της εύρυθμης λειτουργίας ενός πλοίου, γεγονός που έχει διευκολύνει αφάνταστα την εργασία των ναυτικών, έχει μειώσει εκθετικά τα έξοδα λειτουργίας και έχει βελτιστοποιήσει την ασφάλεια ναυσιπλοΐας. Ωστόσο, ουδέν καλό αμιγές κακού. Τα δίκτυα ανοίγουν πόρτες, οι οποίες είναι πιθανό να επιτρέψουν είσοδο σε ανεπιθύμητους επισκέπτες. Σύμφωνα με μια μελέτη που δημοσίευσε το International Chamber of Shipping, τα δίκτυα είναι ο παράγοντας με τον υψηλότερο κίνδυνο, όσον αφορά τη ψηφιακή ασφάλεια του πλοίου. Μέσω των δικτύων, εξασφαλίζεται η επικοινωνία με τα κεντρικά συστήματα της εταιρείας, η οποία παίζει καθοριστικό ρόλο στον τομέα των λειτουργιών και άρα μεταφράζεται σε εξοικονόμηση χρόνου και χρήματος. Επιπλέον όμως και αυτό ίσως είναι το πιο σημαντικό, τα δίκτυα μεταφέρουν δεδομένα που έχουν σχέση με την ορθή ναυσιπλοΐα, την κατάσταση των ηλεκτρομηχανικών συστημάτων του πλοίου και την κατάσταση του φορτίου. Μια κακόβουλη επέμβαση σε κάποια από αυτά τα δεδομένα είναι πιθανό να κοστίσει ακόμα και ανθρώπινες ζωές.

Δεν είναι εύκολο μια κυβερνοεπίθεση να θέσει ένα πλοίο σε ανεξέλεγκτη κατάσταση, σύμφωνα με τον Λάμπρο Παπαναστασίου. Ωστόσο, ο συνδυασμός ασφαλιστικών δικλείδων και ανεκπαίδευτου προσωπικού που καταργεί διαδικασίες για μεγαλύτερη ευκολία, αφήνει περιθώρια για όλα τα ενδεχόμενα.

Αρχίζουν να κατανοούν το πρόβλημα οι πλοιοκτήτες
Το περιστατικό της Maersk, το οποίο έλαβε χώρα μια εβδομάδα μετά το European Maritime Cyber Risk Management Summit, αν και σύμφωνα με εκτιμήσεις κόστισε στην εταιρεία 200 εκατομμύρια δολάρια, δεν ήταν το χειρότερο που θα μπορούσε να συμβεί. Οι κυβερνοεγκληματίες πειραματίζονται ήδη με στόχο τον έλεγχο ηλεκτρομηχανικών συστημάτων των πλοίων. Σύμφωνα με τον Patrick Rossi, maritime cyber security manager της DNV GL, “το switch board ενός bulk carrier έσβησε εξαιτίας ενός malware και το πλοίο σταμάτησε να είναι λειτουργικό”. Στο ISM Code που θα ισχύει από το 2021 και έπειτα, τα πλοία θα αξιολογούνται σε διάφορα στοιχεία που έχουν σχέση με τη ψηφιακή ασφάλεια και όπου υπάρχει πρόβλημα θα αφαιρούνται πόντοι. Από κάποια βαθμολογία και κάτω το πλοίο θα θεωρείται μη αξιόπλοο. Ωστόσο, για τα πλοία που μεταφέρουν υγρά καύσιμα, το cyber security είναι ήδη ένας σημαντικός παράγοντας εκτίμησης κινδύνου, καθώς αποτέλεσε κομμάτι του best practice προγράμματος Tanker Management and Self Assessment 3 (TMSA 3) στο Oil Companies International Marine Forum. Ο Λάμπρος Παπαναστασίου προτείνει ένα “χάρτη ασφαλών πλεύσεων”, ο οποίος ξεκινά από την υιοθέτηση ολοκληρωμένων συγκεντρωτικών συστημάτων και συνεχίζει με αυστηρό έλεγχο πρόσβασης χρηστών και δικτύων, τακτικά αντίγραφα ασφαλείας, διαρκή ενημέρωση λογισμικού, διαρκή παρακολούθηση συστημάτων, πολιτικές χρήσης φορητού εξοπλισμού και κατάρτιση πληρωμάτων.

Το πρόβλημα με την αγορά της ναυτιλίας, το οποίο στο παρελθόν είχαν αντιμετωπίσει και άλλες αγορές, είναι ότι οι ιδιοκτήτες δεν έχουν αντιληφθεί ακόμα το μέγεθος του κινδύνου στο βαθμό που το έχουν αντιληφθεί οι εργαζόμενοι στα τμήματα IT.

Η καθυστερημένη ανταπόκριση είναι πολύ πιθανό να οδηγήσει σε κάποιες επιθέσεις, οι οποίες θα έχουν τη μορφή του παραδείγματος προς αποφυγή για τις υπόλοιπες εταιρείες. Με έσοδα που παραμένουν υψηλά, η παγκόσμια αγορά ναυτιλίας είναι πολύ δελεαστική για το οργανωμένο κυβερνοέγκλημα.

Διαβάστε τα υπόλοιπα κεφάλαια του Special Report CYBERSECURITY στους παρακατω συνδέσμους: